Из Северной Кореи Группа Лазарус. Кибер-воины или киберпреступники?

(Ди Ciro Metuarata)
15/02/18

Быть способным правильно ориентироваться в той огромной «серой зоне», которая становится киберпространством, является очень сложным делом. Возможность установить, кто на самом деле является исполнителем и кто зачинатель кибер-атаки, особенно в контексте судебных расследований, тем более. Однако в контексте все более обширного и разнообразного мира хакеров можно выделить некоторые преступные группы, способные проводить кибер-кампании, имеющие глобальный резонанс.

Поэтому мы посвящаем ряд статей группам киберпреступников, которые считаются наиболее актуальными на планетарном уровне, кратко пересматривая их дела. Однако перед началом работы необходимо сделать некоторые предварительные условия.

ПервыйКак уже упоминалось ранее, это криминальные хакеры, очень отличаются от так называемых хакеров «этики», которые, однако, во многих случаях представляют собой ценный ресурс, но слишком часто, недостаточно ценится. Этические хакеры, по сути, не получают никакой прибыли от своих действий (кроме личного удовлетворения), а, наоборот, помогают объектам воздерживаться от их внимания для повышения безопасности используемых ИТ-систем, обнаружения и сигнализации любых уязвимостей перед реальным злонамеренный.

второй: имена, приписываемые преступным группам, обычно не являются реальными, но назначаются исследователями или исследователями, которые могут их идентифицировать. Поэтому, учитывая, что часто бывает, что группе присваивается более одного имени, что приводит к созданию путаницы, статьи будут использовать псевдонимы, на которых большая часть проведенных на них исследований сходится.

третий: Как географическое происхождение этих групп и их состав (преступники, профессионалы разведки, военные, политические деятели и т.д.), в общем, устанавливается на основе комплексных исследований, которые не в полной мере устранить любую неопределенность. В частности, исследователи анализируют и сопоставляют следы, оставленные хакерами во время и после атак, таких как, например, используемые пароли, фрагменты кода, с которым было написано вредоносное ПО, ключи шифрования, используемые маскирующие методы. отвлекать исследователей, создаваемые командные и контрольные структуры и другие особые элементы, распознаваемые в тактике и методах, используемых каждой группой.

Поэтому на основании этих доказательств компании кибербезопасности, исследовательские центры и даже разведка идентифицируют группы хакеров и присваивают им свои имена, которые, как уже упоминалось, не всегда разделяются. В конечном счете, такие группы еще не могут обнаружить много, и непроницаемый ореол секретности, который их окружает, позволяет им в настоящее время совершать свои преступные действия с безнаказанностью.

Учитывая эти предпосылки, давайте перейдем к группе, недавно введенной в игру ничем, кроме Белого дома: Группа Lazarus.

В частности, в последние недели правительство США указало, что Северная Корея является зачинщиком разрушительной кибер-атаки глобального масштаба, известной как WannaCryptor (v.articolo). Более того, по мнению американских исследователей, исполнителем материала была бы группа хакеров, которые в прошлом уже отличились в других кибер-операциях, связанных с северокорейским режимом: Группа Lazarusна самом деле. Однако, помимо предполагаемой национальности, генезис и состав группы пока не известны, настолько, что неясно, являются ли они киберпреступниками, нанятыми северокорейским режимом, или, скорее, это рабочая ячейка фантома «Единство» 180 "Генерального бюро разведки. Во всяком случае, у Лазаря есть особенность: он имеет оскорбительную способность в экспоненциальном росте и очень разнообразные цели во всем мире. В частности, исследователи отметили, что, если до сих пор Лазарь никогда не разрабатывал особенно сложные вредоносные программы, с другой стороны имеет сильную способность производить новые с очевидной легкостью. По сути, группа способна изучать или разрабатывать методы атаки со скоростью, которую трудно найти в других кибер-преступных ячейках. Кроме того, известно, что Лазарь работает по всему миру и имеет возможность проводить кампании, для самых различных бизнес-задач: военных, финансовых учреждений (даже тех, кто относится к крипто валюты), энергетических компаний и других видов частных компаний, таких как Sony, которая, как мы увидим, позже, несмотря на себя, она участвовала в споре между США и Северной Кореей.

Учебная программа Лазарь поэтому он особенно насыщен, отражая его динамизм и беспощадность. В частности, уже начиная с 2007, группа была бы признана за проведение некоторых шпионских кампаний и саботажа, направленных на достижение нескольких целей.

Впоследствии в 2013 он был бы отличен за то, что совершил кибератаки против некоторых банков и компаний связи, расположенных в Южной Корее.

Тем не менее, это 2014 год, в который Лазарь Он поднялся на первый план новостей, когда он был приписан Федеральным бюро расследований, громкой атакой на серверы компании Sony Picture Entertainment. Точнее, ноябрьская сеть 24 этой компании была поставлена ​​на колени кибер-атакой, и огромное количество персональных данных сотрудников было перенаправлено в неизвестное место. Все это произошло при запуске американского сатирического фильма Интервью, распространенный Sony и считающийся настоящим возмущением северокорейскому режиму. Позже, несмотря на возмездие со стороны США, это было недолго с точки зрения экономических санкций или кибернетического возмездия (с неопределенными результатами), Лазарь он быстро возобновил свои кибер-операции.

На следующий год, по сути, было характерно несколько кибер-кампаний, которые были отнесены к рассматриваемой группе, ориентированные на южнокорейские, американские и, более ограниченные, находящиеся в других странах, проводимые с помощью многочисленных вредоносных программ с различными характеристиками и целями. («Разрушение» данных, а не шпионаж), таких как Hangman, Destrover, DeltaCharlie или WildPositron, чтобы назвать несколько.

В феврале 2016, однако, Лазарь частично успешная попытка кибер-грабежа с самой большой добычей, когда-либо записанной в истории, была приписана: кибер-атака на Центральный банк Бангладеш. Точнее, в течение двух дней закрытия Центрального банка группа управляла в обход своих систем безопасности, чтобы заказать перевод почти 1 миллиардов долларов США в Федеральную резервную систему США, а оттуда - на некоторые текущие счета в Шри-Ланке и на Филиппинах. , К счастью, институт США заблокировал крупнейший транш передачи, и определенная сумма была восстановлена ​​в последующие месяцы. Однако больше, чем 60 миллионов долларов, потеряло бы счет благодаря многочисленным шагам по текущим счетам, распространенным в Юго-Восточной Азии. Эта история вызвала множество вопросов о реальном характере и Лазарь, до сих пор не решен. Было ли это попыткой поставить бангладешскую экономику на колени (само по себе далеко от расцвета) и дестабилизировать эту страну или, скорее, «вульгарное» ограбление?

Дело в том, что позже, в 2016 - 2017 период, через кибер-кампанию на основе вредоносных программ, крещенных Ratankba, группа снова сосредоточится на финансовых учреждениях, на этот раз принадлежащих к половине мира.

Наконец, после глобальной атаки с WannaCryptor, который уже был написан, в конце прошлого года Лазарь Он заинтересован в росте бизнеса криптографических валют и, в частности, в банке в Лондоне, сотрудники которого были «бомбардировка» по электронной почте с вложениями или ссылками на веб-сайты, скомпрометированную вредоносной специально «упакованные».

В заключение, независимо от того, является ли это северокорейская разведывательная служба или киберпреступность, которую иногда нанимают режимы, Группа Lazarus однако его можно считать респектабельным элитарным подразделением. Его способность запускать и проводить кампании глобального охвата и «менять кожу» постоянно делает ее, по сути, особенно эффективной и чрезвычайно опасной.

Независимо от наследников древних, грозные воины Hwarang (молодежь, принадлежащие знатным семьям, которые venivani выросших и подготовленных для формирования военного руководства) или кибер-преступников, которые установили прибыльную ассоциацию с режимом, Группа Lazarus это одна из лучших и самых неприступных «армий» киберпространства.

 

Основные источники:

https://www.google.it/amp/amp.timeinc.net/fortune/2017/06/22/cybersecuri...

https://www.wired.com/2016/02/sony-hackers-causing-mayhem-years-hit-comp...

https://www.cybersecitalia.it/wannacry-lazarus-group-alleato-della-corea...

http://securityaffairs.co/wordpress/68221/apt/lazarus-apt-arsenal.html

http://securityaffairs.co/wordpress/66780/hacking/lazarus-apt-cryptocurr...

https://www.cybersecitalia.it/wannacry-lazarus-group-alleato-della-corea...

https://www.kaspersky.com/blog/operation-blockbuster/11407/

https://www.reuters.com/article/us-cyber-northkorea-exclusive/exclusive-...

(фото: паутина)

https://brica.de/alerts/alert/public/1192203/lazarus-apt-group-targets-a...

оборона рейнметалла